Vista付属の「Windows Mail」に脆弱性――リモート・コード実行を許すおそれ、発見した専門家は脆弱性の実証コードを販売
Windows Mailは、Windowsにバンドルされてきた電子メール・アプリケーション「Outlook Express」の後継製品。Microsoftは同日、この専門家の指摘を認め、この脆弱性について調査を実施中と述べている。
23日早朝にセキュリティ早期警告サービス「DeepSight」で、この脆弱性に関する警告情報を発表したSymantecは、リモート・コード実行の危険があることを確認した後で追加情報を発表し、その中で深刻度評価を6.8から7.5に引き上げた。
この脆弱性を悪用した攻撃方法としては、悪意あるファイルへのリンクを含む電子メールを送りつけ、リンクをクリックするようユーザーをだまし、個人情報を盗むソフトウェアやトロイの木馬プログラムをユーザーのPCに仕込むというものが考えられる。
また、DeepSightの警告情報によると、ローカルの実行ファイルを参照するという手口が使われる可能性もある。ユーザーがこのリンクをクリックすると、直ちにネイティブ・プログラムが実行されるというわけだ。
例えば、ローカルの「winrm.cmd」ファイルなどがターゲットになるおそれがあるという。winrm.cmdは、Windowsのリモート管理に使われるコマンドライン・ツールで、これがクラッカーなどによって実行されると、PCを完全に乗っ取られる危険が出てくる。
Symantecによると、メール内のリンクが、PC上にない悪意あるファイルを参照しているときは、ユーザーがリンクをクリックしても被害を避けられる可能性がある。そのリンクをクリックすると、ファイルを開くかどうかの確認を求めるダイアログ・ボックスが表示されるためだ。そこで、「はい」をクリックすると、ファイルが開くか、そのユーザーの権限で実行されるという。
Microsoft Security Response Center(MSRC)は、Windows Mailで見つかった脆弱性の潜在的なリスクは低いとしており、同社の広報担当者を通じて、「Microsoftの現在の認識では、報告された脆弱性を悪用した攻撃は今のところ発生しておらず、顧客にも影響は及んでいない」との声明を発表した。
しかし、その認識は変わるかもしれない。23日にセキュリティ・メーリング・リスト「Full Disclosure」でこの脆弱性の存在を公表し、実証コードも公開した「Kingcope」と名乗るセキュリティ専門家は、2週間近く前に同メーリング・リストで、脆弱性実証コードの販売サービスを発表していたからだ。
同氏は3月11日付けの投稿で、この新サービスについて、「われわれは現在、脆弱性実証コードの販売サイトを運営している。そこでは優れた解説情報と実証コードを購入できる。最新のゼロデイ攻撃用コードのご用命は営業担当者まで」と記していた。
この販売サイトは、23日時点では保守のためシステム停止中となっていた。Kingcope氏に電子メールでこのサービスの詳細を尋ねたが、現時点で同氏からの返信はない。
SymantecとMicrosoftは、一方的に送りつけられた電子メール内のリンクをクリックしないよう注意を促している。またSymantecは、Windows MailのHTML表示を無効にすることも勧めている。
Microsoftは慣例どおり、この脆弱性について、追って追加情報を発表するか、あるいは将来のセキュリティ更新プログラムで修正するとしている。Vistaを含む同社製品の次回の月例セキュリティ更新プログラムは、4月10日に配布される予定だ。
(グレッグ・カイザー/Computerworld オンライン米国版)
米国Microsoft http://www.microsoft.com/
提供:Computerworld.jp
